Uzun süredir devlet kurumları ve kurumsal ağları hedef alan Webworm adlı tehdit aktörünün, 2025 itibarıyla araç setini genişlettiği ve komuta-kontrol (C2) trafiği için Discord ile Microsoft Graph API kullanan iki yeni arka kapı devreye aldığı değerlendiriliyor. Yeni bileşenler EchoCreep ve GraphWorm olarak adlandırılıyor; bunlar, geleneksel RAT tabanlı erişimden daha gizli çalışacak şekilde tasarlanmış görünüyor.
Son analizler, grubun özellikle Rusya, Gürcistan, Moğolistan ve Asya’daki bazı diğer ülkelerde kamu kurumları ile IT hizmetleri, havacılık ve elektrik enerjisi sektörlerindeki kuruluşları hedef aldığını gösteriyor. Son iki yılda ise saldırıların Avrupa’ya da kaydığı; Belçika, İtalya, Sırbistan, Polonya ve İspanya’daki kamu yapıları ile Güney Afrika’daki bir üniversitenin de risk alanına girdiği görülüyor.
Saldırı Zinciri ve Kullanılan Araçlar
Webworm’un geçmiş operasyonlarında Trochilus RAT, Gh0st RAT ve 9002 RAT gibi uzaktan erişim truva atları öne çıkıyordu. Ancak son dönemde grup, tam teşekküllü arka kapılar yerine SOCKS proxy’ler ve yarı meşru yönetim araçlarına yönelmiş durumda. Bu yaklaşım, hem tespiti zorlaştırıyor hem de ağ içinde yatay hareketi ve kalıcılığı daha az görünür hale getiriyor.
Yeni keşfedilen EchoCreep, Discord kanalları üzerinden komut alıp gönderiyor; dosya yükleme/indirme ve cmd.exe üzerinden komut çalıştırma yeteneklerine sahip. GraphWorm ise Microsoft Graph API ve OneDrive entegrasyonunu kullanarak daha gelişmiş bir arka kapı işlevi görüyor; yeni bir cmd.exe oturumu açabiliyor, yeni süreç başlatabiliyor, dosya aktarımı yapabiliyor ve operatörden sinyal aldığında kendi çalışmasını durdurabiliyor.
Bu kampanyada dikkat çeken bir diğer unsur, kötü amaçlı yazılım ve yardımcı araçların meşru bir WordPress çatallanmış sürümü gibi görünen bir GitHub deposu üzerinden sahneye alınması. Bu depo, SoftEther VPN gibi araçların da barındırıldığı bir hazırlık alanı olarak kullanılıyor. SoftEther VPN’in bu tür operasyonlarda tercih edilmesi yeni değil; birçok Çin bağlantılı grup, trafiği normal kullanıcı davranışıyla karıştırmak ve güvenlik kontrollerini atlatmak için benzer yöntemlere başvuruyor.
Webworm Neden Daha Zor İzleniyor?
Tehdit aktörünün son iki yılda klasik arka kapılardan uzaklaşıp proxy zincirleri, açık kaynak araçlar ve bulut servisleri üzerinden iletişim kurması, olay müdahale ekipleri için görünürlüğü azaltıyor. Özellikle Discord ve Microsoft Graph gibi yaygın kullanılan platformların C2 amacıyla istismar edilmesi, güvenlik ekiplerinin meşru trafik ile kötü amaçlı trafiği ayırmasını zorlaştırabiliyor.
Bu noktada EDR, SIEM ve ağ segmentasyonu kontrolleri kritik hale geliyor. Örneğin, kurumsal ağda beklenmeyen Discord API çağrıları, OneDrive üzerinden olağandışı dosya transferleri, cmd.exe zincirleri ve proxy tünelleme davranışları korelasyon kurallarıyla izlenebilir. IAM tarafında ise ayrıcalıklı hesapların kötüye kullanımını sınırlamak için MFA, koşullu erişim ve oturum politikaları güçlendirilmeli.
Grubun kullandığı iox, WormFrp, ChainWorm, SmuxProxy ve WormSocket gibi özel proxy araçları da operasyonun önemli parçaları arasında. Özellikle WormFrp’nin ele geçirilmiş bir Amazon S3 kovasından yapılandırma çektiğinin tespit edilmesi, saldırganların bulut güvenliği zafiyetlerini de fırsata çevirdiğini gösteriyor.
Teknik Özet
Kullanılan zararlılar ve araçlar: EchoCreep, GraphWorm, Trochilus RAT, Gh0st RAT, 9002 RAT, iox, WormFrp, ChainWorm, SmuxProxy, WormSocket, SoftEther VPN.
Hedeflenen ortamlar: Kamu kurumları, kurumsal ağlar, IT hizmetleri, havacılık, elektrik enerjisi, Avrupa’daki devlet yapıları ve bazı akademik kurumlar.
Öne çıkan teknik davranışlar: Discord ve Microsoft Graph API üzerinden C2, OneDrive tabanlı dosya aktarımı, SOCKS proxy kullanımı, çoklu host zincirleme, GitHub üzerinden sahte staging alanı, bulut depolama kovalarından yapılandırma çekme.
Muhtemel saldırı akışı: İlk erişim yöntemi henüz net değil; ancak açık kaynak tarama araçlarıyla web sunucularında dizin ve dosya keşfi yapıldığı, ardından proxy veya arka kapı bileşenlerinin devreye alındığı düşünülüyor. Son aşamada komut çalıştırma, dosya sızdırma ve kalıcılık sağlama hedefleniyor.
SOC ve Sistem Yöneticileri İçin Kontrol Listesi
1. Discord, Microsoft Graph ve OneDrive trafiğini kurumsal kullanım profiliyle karşılaştırın; beklenmeyen API çağrılarını SIEM üzerinde alarm haline getirin.
2. cmd.exe, powershell.exe ve benzeri süreçlerin olağandışı ebeveyn-çocuk süreç ilişkilerini EDR kurallarıyla izleyin.
3. SoftEther VPN, SOCKS proxy ve tünel araçlarının yetkisiz kurulumlarını uygulama kontrolü ve yazılım envanteriyle tespit edin.
4. Amazon S3, GitHub ve diğer dış servislerdeki yapılandırma sızıntılarını bulut güvenliği denetimleriyle tarayın.
5. Web sunucularında dirsearch ve nuclei benzeri tarama davranışlarını WAF, reverse proxy ve log korelasyonu ile görünür kılın.
6. Ayrıcalıklı hesaplarda MFA, oturum süresi kısıtları ve koşullu erişim politikalarını zorunlu hale getirin.
7. Ağ segmentasyonu uygulayarak proxy, yönetim ve kullanıcı trafiğini birbirinden ayırın; doğrudan dış çıkışları sınırlandırın.
8. Olay müdahale planında Discord, Graph API, OneDrive ve S3 gibi servisler için hazır IOC/IOA toplama adımları tanımlayın.
Kurumsal Ortamda Olası Senaryo
Bir SaaS sağlayıcısında ya da e-ticaret şirketinde, saldırgan önce dışa açık bir web sunucusunu tarama araçlarıyla keşfedebilir. Ardından bir proxy bileşeni veya arka kapı yerleştirerek iç ağa tutunur, komutları Discord üzerinden alır ve dosyaları OneDrive ya da benzeri bir bulut servisi üzerinden dışarı aktarır. Bu model, klasik fidye yazılımı saldırılarındaki gürültülü şifreleme aşamasından farklı olarak, uzun süre fark edilmeden veri toplama ve erişim sürdürme amacı taşır.
Bu nedenle kurumların yalnızca zararlı yazılım imzalarına değil, davranışsal göstergelere de odaklanması gerekiyor. Özellikle e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu birlikte ele alındığında, benzer kampanyaların etkisi ciddi ölçüde azaltılabilir. Kurum içi log kaynakları arasında proxy günlükleri, DNS sorguları, kimlik doğrulama kayıtları, endpoint telemetrisi ve bulut erişim logları mutlaka ilişkilendirilmeli.
Webworm vakası, tehdit aktörlerinin artık yalnızca özel zararlı yazılımlara değil, meşru platformların kötüye kullanımına da ağırlık verdiğini bir kez daha gösteriyor. Bu da savunma tarafında görünürlük, korelasyon ve hızlı olay müdahale yeteneklerinin önemini artırıyor.
Öte yandan, aynı dönemde farklı Çince konuşan siber suç grupları arasında BadIIS benzeri bir zararlı yazılımın hizmet modeliyle paylaşıldığına dair bulgular da dikkat çekiyor. Bu tür MaaS yapıları, trafik yönlendirme, arama motoru manipülasyonu, içerik kaçırma ve kötü amaçlı SEO dolandırıcılığı gibi amaçlarla kullanılıyor. Yani tehdit ekosistemi yalnızca casusluk değil, sürekli gelir üretmeye dönük operasyonlarla da büyüyor.
Sonuç olarak, Discord ve Microsoft Graph gibi platformların saldırı zincirine dahil edilmesi, kurumsal savunmanın klasik port ve imza odaklı yaklaşımının ötesine geçmesini zorunlu kılıyor. Güçlü kimlik yönetimi, ayrıntılı loglama, davranış analitiği ve hızlı izolasyon yetenekleri artık temel gereksinim haline gelmiş durumda.